DatabaseBlobAuditingPolicyProperties interface
Właściwości polityki audytu blobów bazy danych.
Właściwości
| audit |
Określa Actions-Groups i akcje do inspekcji. Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Ta powyższa kombinacja jest również zestawem domyślnie skonfigurowanym podczas włączania audytu z portalu Azure. Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji. Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji. W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane działania audytu to: WYBIERZ AKTUALIZACJĘ WSTAW USUŃ WYKONAJ ODBIERANIE REFERENCJI Ogólna forma definiowania akcji do audytu to: {action} ON {object} BY {principal} Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}. Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji |
| is |
Określa, czy zdarzenia audytowe są wysyłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', a 'IsAzureMonitorTargetEnabled' jako prawdę. W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}. Ustawienia diagnostyczne Format URI: PUT Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell |
| is |
Określa, czy tożsamość zarządzana jest używana do uzyskiwania dostępu do magazynu obiektów blob |
| is |
Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu. |
| queue |
Określa czas w milisekundach, po upływie którego przetworzenie działań inspekcji zostanie wymuszone. Domyślna wartość minimalna to 1000 (1 sekunda). Maksymalna wartość to 2147 483 647. |
| retention |
Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu. |
| state | Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled. |
| storage |
Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt storageEndpoint jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:
|
| storage |
Określa identyfikator subskrypcji magazynu obiektów blob. |
| storage |
Określa punkt końcowy magazynu obiektów blob (np. |
Szczegóły właściwości
auditActionsAndGroups
Określa Actions-Groups i akcje do inspekcji.
Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań:
BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.
Ta powyższa kombinacja jest również zestawem domyślnie skonfigurowanym podczas włączania audytu z portalu Azure.
Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji):
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP
Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji.
Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji.
W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane działania audytu to: WYBIERZ AKTUALIZACJĘ WSTAW USUŃ WYKONAJ ODBIERANIE REFERENCJI
Ogólna forma definiowania akcji do audytu to: {action} ON {object} BY {principal}
Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}.
Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public
Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji
auditActionsAndGroups?: string[]
Wartość właściwości
string[]
isAzureMonitorTargetEnabled
Określa, czy zdarzenia audytowe są wysyłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', a 'IsAzureMonitorTargetEnabled' jako prawdę.
W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}.
Ustawienia diagnostyczne Format URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell
isAzureMonitorTargetEnabled?: boolean
Wartość właściwości
boolean
isManagedIdentityInUse
Określa, czy tożsamość zarządzana jest używana do uzyskiwania dostępu do magazynu obiektów blob
isManagedIdentityInUse?: boolean
Wartość właściwości
boolean
isStorageSecondaryKeyInUse
Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.
isStorageSecondaryKeyInUse?: boolean
Wartość właściwości
boolean
queueDelayMs
Określa czas w milisekundach, po upływie którego przetworzenie działań inspekcji zostanie wymuszone. Domyślna wartość minimalna to 1000 (1 sekunda). Maksymalna wartość to 2147 483 647.
queueDelayMs?: number
Wartość właściwości
number
retentionDays
Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.
retentionDays?: number
Wartość właściwości
number
state
Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.
state: BlobAuditingPolicyState
Wartość właściwości
storageAccountAccessKey
Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt storageEndpoint jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:
- Przypisz SQL Server systemowo przypisaną zarządzaną tożsamość w Azure Active Directory (AAD).
- Przyznaj dostęp tożsamości SQL Server do konta pamięci, dodając rolę RBAC 'Storage Blob Data Contributor' do tożsamości serwera. Aby uzyskać więcej informacji, zobacz Inspekcja w magazynie przy użyciu uwierzytelniania tożsamości zarządzanej
storageAccountAccessKey?: string
Wartość właściwości
string
storageAccountSubscriptionId
Określa identyfikator subskrypcji magazynu obiektów blob.
storageAccountSubscriptionId?: string
Wartość właściwości
string
storageEndpoint
Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.
storageEndpoint?: string
Wartość właściwości
string